İsrail merkezli bir casus yazılım satıcısı olan Candiru, politikacılar, gazeteciler ve iş dünyası liderleri de dahil olmak üzere yüksek değere sahip kişileri hedeflemek için birden fazla ülkede gelişmiş kötü amaçlı yazılım altyapısı kurdu.
DevilsTongue olarak bilinen paralı asker casus yazılımı, Macaristan, Suudi Arabistan, Endonezya ve Azerbaycan’da belirlenen sekiz farklı operasyonel kümeyle dünya çapında Windows kullanıcıları için büyüyen bir tehdit oluşturuyor.
Bu modüler Windows kötü amaçlı yazılımı, gelişmiş kaçınma tekniklerini kapsamlı gözetim yetenekleriyle birleştirerek onu günümüzdeki en tehlikeli siber tehditlerden biri haline getiriyor.
DevilsTongue, paralı asker casus yazılım pazarında, hem gelişmiş yararlanma tekniklerinden hem de karmaşık kalıcılık mekanizmalarından yararlanarak özellikle endişe verici bir silah olarak ortaya çıktı.
Kötü amaçlı yazılım, hedef sistemleri tehlikeye atmak için web tarayıcılarındaki ve silah haline getirilmiş belgelerdeki sıfır gün güvenlik açıklarından yararlanarak birden fazla enfeksiyon vektörü aracılığıyla çalışır.
Bu casus yazılımı farklı kılan şey, kurulduktan sonra gizlice çalışabilmesi, hassas bilgileri çalması ve standart güvenlik araçları tarafından neredeyse tespit edilememesidir.
Recorded Future güvenlik analistleri, Candiru’nun operasyonel kümeleriyle bağlantılı yeni altyapıyı tespit ederek çeşitli grupların kurbanlara yönelik sistemlerini yönetme biçimleri arasındaki önemli farklılıkları ortaya çıkardı.
Bazı kümeler doğrudan çalışırken, diğerleri komutları ara katmanlar veya Tor ağı üzerinden yönlendirerek savunma çabalarına karmaşıklık katmanları ekler.
Keşif, Candiru’nun Kasım 2021’de ABD Ticaret Bakanlığı’nın uluslararası yaptırımlarıyla karşı karşıya kaldıktan sonra bile operasyonel güvenliğini nasıl uyarlamaya devam ettiğini gösteriyor.
DevilsTongue’un lisanslama modeli bu tehdidin ticari niteliğinin altını çiziyor. Sızan proje tekliflerine göre Candiru, eşzamanlı enfeksiyonlara göre ücretlendirme yaparak müşterilerin aynı anda birden fazla cihazı izlemesine olanak tanıyor.
16 milyon Euro’dan başlayan temel sözleşme, eşzamanlı olarak izlenen on cihazla sınırsız enfeksiyon girişimine izin verirken, ek ücretler farklı ülkeler arasında genişletilmiş kapasitenin ve coğrafi kapsamın kilidini açar.
.webp)
Bu fiyatlandırma yapısı, kalıcı gözetim yetenekleri arayan önemli bütçelere sahip devlet müşterilerini cezbetmektedir.
Teknik Kalıcılık ve Kaçınma Mekanizmaları
DevilsTongue, virüs bulaşmış Windows sistemlerinde kalıcılığı korumak ve tespit edilmekten kaçınmak için gelişmiş teknikler kullanır.
Kötü amaçlı yazılım, meşru COM sınıfı kayıt defteri anahtarlarının üzerine yazarak COM ele geçirmeyi kullanıyor ve bunları C:\Windows\system32\IME konumunda bulunan birinci aşama bir DLL’ye yönlendiriyor.
Bu yaklaşım, kötü amaçlı yazılımı meşru sistem dizinleri içinde akıllıca gizler. Physmem.sys adı verilen imzalı bir üçüncü taraf sürücü, çekirdek düzeyinde bellek erişimine olanak tanıyarak kötü amaçlı yazılımın API çağrılarını proxy olarak kullanmasına ve algılama mekanizmalarından kaçınmasına olanak tanır.
Ele geçirme işlemi sırasında DevilsTongue, LoadLibraryExW dönüş değerinin kabuk kodu manipülasyonu yoluyla orijinal COM DLL dosyasını eski durumuna getirir ve güvenlik uyarılarının tetiklenmesini önlemek için sistem kararlılığını korur.
Tüm ek veriler şifreli kalır ve yalnızca bellekte yürütülür, böylece adli kurtarma işlemi engellenir.
Bu tasarım, kötü amaçlı yazılımın, meta veri temizleme ve benzersiz dosya karma yoluyla izlerini kapatmadan önce LSASS’tan, tarayıcılardan ve Signal Messenger gibi mesajlaşma uygulamalarından kimlik bilgilerini çıkarmasına olanak tanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
